outubro 26, 2012

[Segurança] Tokens de autenticação

Mexendo no baú, achei este vídeo promocional de 2008 do Itaú para o lançamento do iToken, o token de autenticação que o Itaú usa desde 2008 como uma forma de proteger melhor o acesso ao Internet Banking.



Estes tokens são muito populares entre os bancos brasileiros e de todo o mundo, e baseados na tecnologia chamada de One Time Password (OTP), pois geram uma senha de uso único. Cada token tem uma "semente" única que é utilizada para gerar uma senha pseudo-aleatória - isto é, é impossível descobrir a senha sem conhecer o algoritmo e a semente que cada token utiliza, mesmo que você conheça uma série de senhas geradas pelo dispositivo. Esta senha de uso único pode ser gerada por tempo ou por evento: a senha é calculada em função do tempo (isto é, o algoritmo que calcula a senha utiliza o horário em que estamos) ou pelo número de vezes que o token é acionado.

A solução comercial mais usada e conhecida de token OTP foi criada pela RSA nos anos 90 (na época, por uma empresa chamada Security Dynamics, que na verdade comprou a RSA no final da década de 90), mas utilizava um algoritmo proprietário. Mesmo assim, existem formas de criar uma solução similar utilizando algoritmos conhecidos. Em 1998 foi publicado um algoritmo na RFC 2289, mas há alguns anos atrás surgiu e se popularizou uma iniciativa da indústria de criar um algoritmo OTP público, chamado Initiative for Open Authentication (OATH). Qualquer pessoa pode ir no site da OATH, pegar a descrição do algoritmo e criar sua solução própria de OTP, que será compatível com as demais soluções que utilizam o mesmo padrão.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.